Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.83/48: Рейтинг темы: голосов - 48, средняя оценка - 4.83
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42

Вирус сам скачивает файлы, устанавливает программы

15.12.2015, 22:28. Показов 9681. Ответов 13
Метки нет (Все метки)

Студворк — интернет-сервис помощи студентам
Здравствуйте, случилась такая беда, скачал файл с сайта и после его установки понял, что скачал вирус т.к. установилось не то что требовалось. Сразу удалил файл, удалил то что установилось, но во время удаления начались устанавливаться другие программы типа "Оперы,хрома,амиго, games-desktop и.т.д" пробовал скачивать антивирусы (Dr.web, avast) не находят вирус, скачал CCleaner, Revo Uninstaller Pro, удалял все вручную, но через 5 минут все устанавливалось снова. в процессах висят задачи которые я не могу закрыть (говорят нет доступа) уже и не знаю что делать, вот логи, помогите что с этим сделать
Вложения
Тип файла: zip CollectionLog-2015.12.15-22.15.zip (10.5 Кб, 10 просмотров)
0
cpp_developer
Эксперт
20123 / 5690 / 1417
Регистрация: 09.04.2010
Сообщений: 22,546
Блог
15.12.2015, 22:28
Ответы с готовыми решениями:

Вирус скачивает и устанавливает программы и браузеры
Вирус скачивает и устанавливает проги рекламы в браузере папка появился UBar всякие новые браузеры не успеваю удалять а они все хуже и хуже...

Вирус скачивает и устанавливает левые программы
Пытался скачать бесплатный софт, но поплатился наличием вируса. Все время скачиваются левые программы, браузеры и прочая ерунда от mail.ru....

Вирус сам устанавливает и запускает браузеры, устанавливает программы
Муж скачал руководство по карбюраторам а вместе с ним и кучу всяких "прелестей". установился Crossbrowse, CinemaP и куча еще чего...

13
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
16.12.2015, 13:04
Переделайте пожалуйста, лог получился не полный.
1
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42
16.12.2015, 13:43  [ТС]
пожалуйста
Вложения
Тип файла: zip CollectionLog-2015.12.16-13.42.zip (69.4 Кб, 6 просмотров)
0
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
16.12.2015, 13:55
Внимание! Рекомендации написаны специально для kroekt94. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Windows Batch file
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\kroket94\appdata\local\birds', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
     QuarantineFileF('C:\Users\kroket94\AppData\Local\SmartWeb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
     QuarantineFile('c:\users\kroket94\appdata\local\birds\birds365.exe', '');
     QuarantineFile('c:\users\kroket94\appdata\roaming\daemon2.exe', '');
     QuarantineFile('c:\program files (x86)\79e7e640-1450100884-11d5-8067-e0cb4ee39a8b\knsnae3b.tmp', '');
     QuarantineFile('c:\users\kroket94\appdata\local\temp\nsha43f.tmp', '');
     QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
     QuarantineFile('c:\users\kroket94\appdata\local\gmsd_ru_005010176\upgmsd_ru_005010176.exe', '');
     QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\RosyStarling.dll', '');
     QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\GrayPartridge.dll', '');
     QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\BlackSwan.dll', '');
     QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\Cassowary.dll', '');
     QuarantineFile('C:\Users\kroket94\AppData\Local\Birds\RuppellsVulture.dll', '');
     QuarantineFile('C:\Program Files (x86)\79E7E640-1450100884-11D5-8067-E0CB4EE39A8B\jnspA682.tmp', '');
     QuarantineFile('C:\PROGRA~1\GROOVE~1\Oojydx.bat', '');
     QuarantineFile('C:\Users\kroket94\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
     QuarantineFile('C:\Users\kroket94\appdata\local\smartweb\__u.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "Fiapj" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
     DeleteFile('c:\users\kroket94\appdata\local\birds\birds365.exe', '32');
     DeleteFile('c:\users\kroket94\appdata\roaming\daemon2.exe', '32');
     DeleteFile('c:\program files (x86)\79e7e640-1450100884-11d5-8067-e0cb4ee39a8b\knsnae3b.tmp', '32');
     DeleteFile('c:\users\kroket94\appdata\local\temp\nsha43f.tmp', '32');
     DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
     DeleteFile('c:\users\kroket94\appdata\local\gmsd_ru_005010176\upgmsd_ru_005010176.exe', '32');
     DeleteFile('C:\Users\kroket94\AppData\Local\Birds\RosyStarling.dll', '32');
     DeleteFile('C:\Users\kroket94\AppData\Local\Birds\GrayPartridge.dll', '32');
     DeleteFile('C:\Users\kroket94\AppData\Local\Birds\BlackSwan.dll', '32');
     DeleteFile('C:\Users\kroket94\AppData\Local\Birds\Cassowary.dll', '32');
     DeleteFile('C:\Users\kroket94\AppData\Local\Birds\RuppellsVulture.dll', '32');
     DeleteFile('C:\Program Files (x86)\79E7E640-1450100884-11D5-8067-E0CB4EE39A8B\jnspA682.tmp', '32');
     DeleteFile('C:\PROGRA~1\GROOVE~1\Oojydx.bat', '32');
     DeleteFile('C:\Users\kroket94\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
     DeleteFile('C:\Users\kroket94\appdata\local\smartweb\__u.exe', '32');
     DeleteFileMask('c:\users\kroket94\appdata\local\birds', '*', true);
     DeleteFileMask('c:\program files (x86)\sfk', '*', true);
     DeleteFileMask('C:\Users\kroket94\AppData\Local\SmartWeb', '*', true);
     DeleteDirectory('c:\users\kroket94\appdata\local\birds');
     DeleteDirectory('c:\program files (x86)\sfk');
     DeleteDirectory('C:\Users\kroket94\AppData\Local\SmartWeb');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010176.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Birds');
     DeleteService('ginoquci');
     DeleteService('rigovyzo');
     DeleteService('SSFK');
     DeleteService('rizyqibe');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Windows Batch file
    1
    2
    3
    
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщению не нужно!


  3. Удалите параметры запуска ярлыков.

  4. Подготовьте лог AdwCleaner.

  5. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
1
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42
16.12.2015, 14:24  [ТС]
надеюсь все сейчас правильно сделал
Вложения
Тип файла: log ClearLNK-16.12.2015_14-11.log (2.2 Кб, 4 просмотров)
Тип файла: txt AdwCleaner[S2].txt (9.7 Кб, 2 просмотров)
0
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
16.12.2015, 14:27
Цитата Сообщение от shestale Посмотреть сообщение
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
???
1
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42
16.12.2015, 14:29  [ТС]
подготавливал готово
Вложения
Тип файла: zip CollectionLog-2015.12.16-14.28.zip (68.8 Кб, 2 просмотров)
0
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
16.12.2015, 14:42
1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

2. Удалите параметры запуска ярлыков.
+
Подготовьте логи Farbar Recovery Scan Tool
1
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42
16.12.2015, 16:02  [ТС]
сделал, но теперь при загрузке появляются эти ошибки
Миниатюры
Вирус сам скачивает файлы, устанавливает программы  
Вложения
Тип файла: zip Addition.zip (15.6 Кб, 1 просмотров)
0
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
17.12.2015, 12:19
Цитата Сообщение от shestale Посмотреть сообщение
1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
2. Удалите параметры запуска ярлыков.
Где логи???
+
Выполните скрипт в Farbar Recovery Scan Tool
Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
start
CreateRestorePoint:
Task: {BFB39DE5-78D3-472A-A5FD-8E353EC0BD54} - System32\Tasks\Cooking Form => Rundll32.exe "C:\Users\kroket94\AppData\Local\Cooking Form\{0677547D-9153-99EC-12EC-E661C7C9EF14}\CookingForm.dll",#1 <==== ATTENTION
Task: {EF0B19FB-49E7-42F3-AB59-997353470B1C} - System32\Tasks\Cooking Form2 => Rundll32.exe "C:\Users\kroket94\AppData\Local\Cooking Form\{0677547D-9153-99EC-12EC-E661C7C9EF14}\cpx.dll",#1 <==== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-671502594-3485370471-2649092670-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-671502594-3485370471-2649092670-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
2015-12-15 05:03 - 2015-12-15 05:03 - 00000000 ____D C:\Users\Все пользователи\AqnDKuibWTnoz
2015-12-15 05:03 - 2015-12-15 05:03 - 00000000 ____D C:\ProgramData\AqnDKuibWTnoz
2015-12-15 04:03 - 2015-12-15 04:03 - 00000000 ____D C:\Users\Все пользователи\MwcQQpiHpBSMZ
2015-12-15 04:03 - 2015-12-15 04:03 - 00000000 ____D C:\ProgramData\MwcQQpiHpBSMZ
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\Users\Все пользователи\utEJPAMSh
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\Users\Все пользователи\TIcJyXBz
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\ProgramData\utEJPAMSh
2015-12-14 16:47 - 2015-12-14 16:47 - 00000000 ____D C:\ProgramData\TIcJyXBz
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
1
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42
18.12.2015, 09:54  [ТС]
Извините что не ответил сразу, к сожалению был на работе...(
Да я уже вижу что вирус больше не показывает себя! огромное вам спасибо, только пожалуйста убедитесь в том что у меня его больше нет)) а то он не мало хлопот принес
Вложения
Тип файла: log ClearLNK-16.12.2015_14-11.log (2.2 Кб, 3 просмотров)
Тип файла: txt Fixlog.txt (4.7 Кб, 3 просмотров)
Тип файла: txt AdwCleaner[C1].txt (10.0 Кб, 3 просмотров)
0
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
18.12.2015, 17:19
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
1
0 / 0 / 0
Регистрация: 15.12.2015
Сообщений: 42
18.12.2015, 23:38  [ТС]
SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 18.12.2015 23:23:09
Path starting: C:\Users\kroket94\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: kroket94
VersionXML: 2.19is-15.12.2015
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 21.10.2015 14:55:47
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe
Системный диск: C: ФС: [NTFS] Емкость: [68 Гб] Занято: [47.6 Гб] Свободно: [20.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18124
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-12-16 00:00:58
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 бета 5 (64-разрядная) v.5.00.5 Внимание! Скачать обновления
TeamViewer 11 v.11.0.52465
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Internet Explorer\iexplore.exe v.11.0.9600.18123
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE v.11.0.9600.18124
----------------------------- [ End of Log ] ------------------------------

а на счет обновлений немного не понял, какие обновления и по каким ссылкам ?)

Добавлено через 12 минут
а, все, понял))
0
Вирусоборец
 Аватар для shestale
8618 / 4187 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
19.12.2015, 06:34
Рекомендации после удаления вредоносного ПО
1
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
raxper
Эксперт
30234 / 6612 / 1498
Регистрация: 28.12.2010
Сообщений: 21,154
Блог
19.12.2015, 06:34
Помогаю со студенческими работами здесь

Вирус сам скачивает программы, касперский не помогает
Вчера ребенок скачал и запустил вирус,который был в архиве. Потом вирус стал устанавливать кучу программ,которые появились на...

Вирус сам скачивает программы, меняет настройки!
После неудачной закачки файла установилась вирусная программа. Быстро осознав ошибку, сразу после установки удалила ее, но было поздно....

Вирус сам устанавливает программы
Доброго времени суток. По своей глупости словил вирус. Вирус сам устанавливает программы - однокласники, амиго, майл ру и тд. При входе в...

Вирус сам устанавливает программы
Доброго времени суток. Скачал вирус, который сам устанавливает программы на компьютер. Много запущеных процессов, устанавливает программы...

Вирус сам устанавливает программы
Прошу помочь с следующей проблемой, которая началась после скачки архива с неизвестного сайта. Вирус устанавливает нон-стопом программы,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Новые блоги и статьи
Символьное дифференцирование
igorrr37 13.02.2026
/ * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .
Камера Toupcam IUA500KMA
Eddy_Em 12.02.2026
Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу
zbw 12.02.2026
И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила»
zbw 12.02.2026
«Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров
8Observer8 12.02.2026
Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image)
8Observer8 11.02.2026
Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image
8Observer8 10.02.2026
Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .
Установка Qt-версии Lazarus IDE в Debian Trixie Xfce
volvo 10.02.2026
В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru